中汽数据(天津)有限公司 靳志刚 王凤娇
载有自动驾驶系统的车辆必须达到安全水平,并且不会造成任何不可容忍的风险,如何设计及验证自动驾驶场景测试用例是保证自动驾驶安全性的一大难题。本文基于SOTIF和RSS多角度结合的方式进行测试用例设计,进一步完善自动驾驶测试用例场景及逻辑,提供验证成功标准参数,进而发现整车及系统组件中的功能不足并进行改进,使智能网联汽车达到合理安全水平。
科学技术的发展与驾驶需求的不断提升,自动驾驶系统也迎来机遇,但风险也机遇并存。智能网联汽车法规强调保障自动化车辆的安全水平、确保智能网联汽车行驶安全,以免遭受任何不可承受的风险,确保在其设计运行范围内下,智能网联汽车不能导致任何可预见和可预防的伤亡交通事故[1]。功能安全关注的是有安全相关的失效,而SOTIF(Safety of the Intended Functionality)关注的是由于功能不足或合理可预见的传感器或系统的性能受阻及可预期误用,导致预期功能不可达。而如何确定人类对安全驾驶的概念和事故的责任划分问题,确保自动驾驶车辆的安全性交通问题,RSS(Responsibility Sensitive Safety)将驾驶常识模型化与参数化,制定逻辑可行化和应对危险伤害最小化规则,为实现自动驾驶汽车的安全驾驶提供数学模型和决策控制参考参数。
传统车辆的设计与验证重点主要是预防与减轻系统失效等方面,而自动驾驶车辆为了实现车辆的部分或全部自动化和智能化,设计与验证重点以运行过程中系统功能和性能的行为安全。实际驾驶场景具有随机性、错综复杂等特点,导致自动驾驶系统在设计阶段对安全问题考虑不够彻底。针对场景是否安全与已知方面出发,将车辆驾驶场景划分为已知安全场景(区域1)、已知不安全场景(区域2)、未知不安全场景(区域3)和未知安全场景(区域4)[2],如图1所示。SOTIF规范的主要目的是缩小不安全的场景,保证系统尽可能的控制在安全范围内。通过对已知场景的再审查发现系统的不足,进而将不安全区域2尽可能转变为安全区域1,保证不安全风险足够低;使用真实场景与随机数据设计测试场景来检测系统设计的不足,实现将未知区域3转变为已知区域2,并通过测试用例等证明区域3已经达到了可接收的水平[3]。SOTIF的实施过程如表1所示。
图1 SOTIF场景划分Fig.1 SOTIF scene division
表1 SOTIF的实施过程Tab.1 SOTIF implementation process
RSS(Responsibility Sensitive Safety,责任敏感安全模型)是将人类对于安全驾驶的理念和事故责任划分转化未数学模型和决策控制的参考参数。针对不同的驾驶场景,RSS模型将驾驶经验和常识转化为公式和参数,定义驾驶策略的框架,明确了安全和风险的边界,并根据逻辑与参数来划分交通事故责任。在RSS模型下,自动驾驶系统在主动不造成交通事故的基础上,将在存在驾驶员且交通事故责任不在本车的情况下将交通事故的危害减少到最低或者避免交通事故的发生,不扩大事故。RSS主要包括如表2所示四个常识模型。
表2 RSS常识模型Tab.2 RSS common sense model
SOTIF方法论最关键的是尽可能多的识别出相应的场景-相应危害的对应措施-验证与确认策略。因此SOTIF主要将场景分为两个大类,即系统的功能限制以及系统的预期合理误用。RSS是一种形式模型,而必须符合合理性和实用性才能成为一个好的形式模型。合理性要求当RSS模型认为事故中自动驾驶汽车没有责任时,它必须符合人类判断的常识。实用性是制定出一些不会导致事故的驾驶规则,即便事故发生,也可以明确不是自动驾驶车辆的责任。将RSS模型导入SOTIF场景中,既从合理性和实用性上梳理了自动驾驶的功能逻辑,又提供参数的设置与判断依据;扩展了测试用例的场景范围,又为测试验证提供了验证依据。SOTIF与RSS结合的测试场景实现过程为:
(1)SOTIF列出自动驾驶所有的功能,并根据功能细分到传感器-决策-执行器,以及相关的组件。依据采用RSS模型中的四个常识模型对功能的逻辑进行调整,以适应驾驶的逻辑合理性。(2)SOTIF梳理各系统功能的限制,依据相应的规则罗列场景,并结合场景分析出功能边界值、极限值等参数。依据采用RSS模型中的四个常识模型进行各个功能参数的设置,来满足设置参数的合理性,以便更加符合人类驾驶习惯。可以采用HARA分析方法将功能限制绘制成表格,将分析场景结合起来,评估监视发生的可能性,并排除不可能场景。
(1)首先识别出交通参与者,如驾驶员、乘客等、盲区的行人;(2)依据引导词识别误用原因;(3)考虑驾驶员与系统之间的交互以及路权的问题等;(4)考虑用例场景的环境,如道路条件-天气等;最后通过以上来组合生成自动驾驶的测试场景用例,如表3所示为AEB测试场景用例[4]。
表3 AEB测试场景用例Tab.3 AEB test scenario use case
驾驶自动化系统及应用场景复杂,为确保驾驶自动化系统本身具有安全执行驾驶功能的能力,需要进行大量的应用场景测试,尤其是要考虑未知场景验证。本文在预期功能安全测试用例设计的基础上,采用RSS来增加和修正一些功能逻辑和功能参数,合理的设计和验证测试场景用例,使自动驾驶系统进一步满足安全驾驶的目的。智能网联汽车产业蓬勃发展,安全隐患也进一步增大,测试验证自动驾驶的安全性是一项复杂的系统工程,基于功能安全与预期功能安全相关体系确立为汽车行业发展提出合理可接受的量化准则[5]。
引用
[1] 刘法旺,李艳文,李国俊,等.欧美日智能网联汽车准入管理研究及启示[J].汽车文摘,2021(5):1-7.
[2] 吕颖.智能驾驶汽车的预期功能安全[J].汽车文摘,2019(9):1-7.
[3] 李波,尚世亮,郭梦鸽,等.自动驾驶预期功能安全(SOTIF)接受准则的建立[J].汽车技术,2020(12):1-5.
[4] 董小飞,邵星辰,濮孝金.针对车辆AEB系统失效和误作用场景的研究[J].质量与标准化,2021(2):50-53.
[5] 李波,付越,王兆,等.中国功能安全(Functional Safety)和预期功能安全(SOTIF)技术和标准体系研究及进展[J].中国汽车,2020(7):34-39.